病毒入侵解决方案
情景
最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的.
排查
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.
这个时候就说明木马已经入侵了,不是即时入侵的.
于是自然的使用top,ps,crontab等方案去排查
-
top
从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.
-
ps -aux > /usr/local/ps;vim /usr/local/ps
从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸
所以我们只需要杀死这个进程就可以了,于是使用kill命令杀了这两个进程重启服务器…又正常了,又过了
